Descargarse música o películas desde el ordenador del trabajo a través de un programa de intercambio de archivos puede tener efectos trágicos y no calculados, causados por quien quizá sólo pretendía meter en su MP3 una canción. Un error de este tipo ha podido provocar que 11.300 historias clínicas, de ellas 4.000 de casos de aborto, acaben expuestos ante cualquier internauta.
#15:
bueno...afortunadamente o desafortunadamente conozco bien el tema.
se trata de una clinica muy pequeña, con 5 trabajadores y 3 ordenadores con windows en red, que trabajan con una base de datos en access. hasta hace poco no tenian internet (por tanto ni emule ni nada)
cuando se conectó a internet (por tecnicos de un ISP), les configuró la red de seguridad, y el antivirus y el firewall. el emule estaba instalado de antes en un pc pero ya desinstalado, aunque quedaba registro de haber estado instalado, pero ya no.
la base de datos estaba en una carpeta compartida de la red, no del emule ni ningun p2p.
hasta ahi lo objetivo
en una de estas suena la alarma: inspeccion de la LPD. ha habido una denuncia. encuentran el "servidor" limpio, pero rastros de emule en un pc de consulta, donde no hay nada instalado. les comentan que la BD esta en internet: me lo comentan, y la busco....no hay nada de eso. vale. una pena pq asi se sabria si es el pc de la clinica quien lo comparte. la BD solo la ha visto el denunciante, y se la ha enseñado a los de la LPD.
posteriormente, medidas de seguridad a tope. se desconectan de internet, contratan autenticos profesionales (no los del ISP), que les hacen hacer una inversion de miles de euros (vamos, la facturacion de un año). servidores seguros, firewalls fisicos....vi el presupuesto y me parecia como para una mediana-gran empresa con mas de 100 equipos. bueno...entiendo que la seguridad de estos centros no es juego de niños. vale...han tomado medidas, y por eso la multa es de ese importe (tal vez mortal para una clinica pequeña)
entonces los abogados empiezan a investigar la denuncia. parece ser que el denunciante es una persona que ha puesto decenas de denuncias de este estilo, generalmente a entidades que la iglesia considerará pecaminosas.
yo, ahi entro en escena, miro a ver si era posible acceder a la ase de datos por p2p, y veo que no. que lo unico que podria hacerse es hackear el equipo (aprovechandose de que uno tiene windows 98) y de ahi acceder a la base de datos. no creo por lo que he visto que en algun momento la carpeta pudiera ser accedida por accidente. yo pienso sinceramente que le han entrado, pillado la base, denuncia al canto y borrada.
lo ideal es que se hubieran tomado las medidas desde antes, y que las inspecciones fuesen tambien preventivas, no solo decir que hay que tener la base registrada. tambien lo ideal seria qu el aempresa no hubiese confiado tanto en el ISP y tuviese un informatico...pero aparte de ser un 20% mas de plantilla, ya digo que son 5, la cultura de la seguridad informatica, como en otras tantas pequeñas empresas, pues como que falla.
mi opinion es que hay un tio en Orense (sabemos su nick) que se dedica a putear a estas clinicas, y que esta es la 1ª, pero que van a caer mas. estan yendo a por ellas como ya pasó en Madrid, tambien casualmente por agentes.
consejo a todo el mundo que tenga conocidos en pequeñas empresas o familiares en ellas: al loro con a quien molestais con vuestra actividad. da igual lo licita que sea. y sobre todo, invertir en proteccion de datos: no penseis que el pringado de turno o el ISP os van a dar un servicio suficiente.
y por supuesto....no instaleis P2P en el curro!!!!!
bueno...afortunadamente o desafortunadamente conozco bien el tema.
se trata de una clinica muy pequeña, con 5 trabajadores y 3 ordenadores con windows en red, que trabajan con una base de datos en access. hasta hace poco no tenian internet (por tanto ni emule ni nada)
cuando se conectó a internet (por tecnicos de un ISP), les configuró la red de seguridad, y el antivirus y el firewall. el emule estaba instalado de antes en un pc pero ya desinstalado, aunque quedaba registro de haber estado instalado, pero ya no.
la base de datos estaba en una carpeta compartida de la red, no del emule ni ningun p2p.
hasta ahi lo objetivo
en una de estas suena la alarma: inspeccion de la LPD. ha habido una denuncia. encuentran el "servidor" limpio, pero rastros de emule en un pc de consulta, donde no hay nada instalado. les comentan que la BD esta en internet: me lo comentan, y la busco....no hay nada de eso. vale. una pena pq asi se sabria si es el pc de la clinica quien lo comparte. la BD solo la ha visto el denunciante, y se la ha enseñado a los de la LPD.
posteriormente, medidas de seguridad a tope. se desconectan de internet, contratan autenticos profesionales (no los del ISP), que les hacen hacer una inversion de miles de euros (vamos, la facturacion de un año). servidores seguros, firewalls fisicos....vi el presupuesto y me parecia como para una mediana-gran empresa con mas de 100 equipos. bueno...entiendo que la seguridad de estos centros no es juego de niños. vale...han tomado medidas, y por eso la multa es de ese importe (tal vez mortal para una clinica pequeña)
entonces los abogados empiezan a investigar la denuncia. parece ser que el denunciante es una persona que ha puesto decenas de denuncias de este estilo, generalmente a entidades que la iglesia considerará pecaminosas.
yo, ahi entro en escena, miro a ver si era posible acceder a la ase de datos por p2p, y veo que no. que lo unico que podria hacerse es hackear el equipo (aprovechandose de que uno tiene windows 98) y de ahi acceder a la base de datos. no creo por lo que he visto que en algun momento la carpeta pudiera ser accedida por accidente. yo pienso sinceramente que le han entrado, pillado la base, denuncia al canto y borrada.
lo ideal es que se hubieran tomado las medidas desde antes, y que las inspecciones fuesen tambien preventivas, no solo decir que hay que tener la base registrada. tambien lo ideal seria qu el aempresa no hubiese confiado tanto en el ISP y tuviese un informatico...pero aparte de ser un 20% mas de plantilla, ya digo que son 5, la cultura de la seguridad informatica, como en otras tantas pequeñas empresas, pues como que falla.
mi opinion es que hay un tio en Orense (sabemos su nick) que se dedica a putear a estas clinicas, y que esta es la 1ª, pero que van a caer mas. estan yendo a por ellas como ya pasó en Madrid, tambien casualmente por agentes.
consejo a todo el mundo que tenga conocidos en pequeñas empresas o familiares en ellas: al loro con a quien molestais con vuestra actividad. da igual lo licita que sea. y sobre todo, invertir en proteccion de datos: no penseis que el pringado de turno o el ISP os van a dar un servicio suficiente.
y por supuesto....no instaleis P2P en el curro!!!!!
Hay muchas empresas y organismos donde el sistema informático funciona gracias al informático aficionado que va resolviendo problemillas según se presentan. Pero no hay establecidas ningunas funciones ni responsabildades ni horarios ni remuneraciones.
Lo raro es que esto no pase más a menudo.
Obviamente, "no sabían nada del Proyecto Angel", que no tiene esos defectos, totalmente gratuito y que corre bajo Linux. Vamos !!! Todos los gerentes de hospitales saben qué es, que no se hagan los distraídos.
Lo que no entiendo es porqué no capan esos ordenadores para que directamente no puedan instalar en ellos ni en Messenger, desde luego que sería lo más fácil.
#15 Pero entonces no se podría denunciar al denunciante: 1º por crackear el sistema para ver la base de datos y 2º por denuncia falsa al decir que lo vio compartido por eMule???
#7 Eso casi es lo de menos... el concepto de servidor, base de datos, cifrado... Que tenían, ¿Los expedientes en .txt?
La clínica implantó de inmediato en su sistema informático medidas de seguridad de nivel alto.
Ya... ¿Cuál? ¿Desconectar la red? La gente no aprende, luego se creen que programadores y administradores estamos de adorno.
lo puedo confirmar. a no ser que el famoso policia ese (que se identifica como el vengador nocturno o algo asi), se haya quedado con una copia, pero no creo que sea tan inutil de delinquir de ese modo (queda por saber si lo ha hecho al acceder a la BD) también si se saltó la contraseña para acceder a ella (vale, eso es lo mas facil por fuerza bruta)
salvando las distancias lo veo como denunciar la pornografia infantil. la encuentras (la busques o no) y lo denuncias, y automaticamente lo borras. no vas pregonando a los 4 vientos que tal archivo es pedofilia
#17 Yo a la persona de un "proveedor competente que esté puesto en Protección de Datos y que le asesore para cumplir la ley" y que configura adecuadamente la red y los ordenadores lo llamo ingeniero/ingeniero tecnico/técnico /comoquieras informatico y no tiene por que cobrar un dineral y tendrá todo funcionando ok
Solo decía que si entonces falla algo, haya un responsable, para bien o para mal
Hay que ser tonto, pero primero y de entrada yo no se porque (ya que se instala win) no se hace con el tema de los permisos de amdinistracion y demas para que no se instalen ciertos pragramas...tambien se pueden capar los puertos...mira que hay soluciones...pero no, se deja al listo de turno y que haga lo que quiera
Se supone que debe haber confidencialidad clínica para con el paciente, entonces¿por qué no guardan los historiales en ordenadores sin conexión a la red? Una red interna del hospital o entre hostpitales sería más lógico.
#23 seria lo logico...como seria lo logico haber contratado un servicio tencnico-de seguridad bueno...pero las pequeñas empresas tienden a no invertir en estas cosas.
ya se que es tarde, pero desde la notificación los equipos han estado sin internet y han comprado un equipo exclusivamente para temas telemáticos, fuera de toda red local. por eso les han rebajado un poco la multa.
como mas logico sería una serie de inspectores de seguridad informatica, al estilo de los que van por el tema de seguridad laboral, antes de que el daño se haya hecho
no te revisan el coche en la itv? no te revisan las medidas de seguridad en las obras? pues eso, que de oficio se encarguen de estas cosas, no solo cuando hay denuncia, que tambien
te sorprenderías de la de empresas que se supone te llevarian el tema de la protección de datos, pero luego solo te venden humo. lo de incribir en el registro la base está bien, pero no cualquier asesoria te puede diseñar un entorno seguro. muchos se han apuntado al carro de la LPD, y enchufan al primer recien licenciado en derecho para que haga....poco mas que nada.
por supuesto otras son muy profesionales, pero se dedican a ello, y aparte de abogados tienen autenticos tecnicos, auditores, .....
y lo de los ISP es de traca. te pueden instalar el emule para bajarte el antivirus como favor, luego borrarlo y dejar el rastro, y ya te la han liado, porque a ver como demuestras que te han enrado si no tienes nada que guarde los logs
por cierto...si conoceis a alguien nervioso por el tema, tranquilizadla/o, que no se ha hecho publico nada. "solo" ha estado disponible para la denuncia. tener ese fichero en tu poder es delito
Yo les impondría dos multas de 150.000 euros: Una a la clínica por no tener sus datos médicos protegidos contra este tipo de situaciones. La otra, al o la inútil, que instaló el emule y no tenía ni puta idea de como se emplea.
Hay que ser conscientes de que en casos como estos, y en otros parecidos, se maneja una información acerca de las personas que tiene un carácter muy personal. No se puede poner ninguna excusa. Sino sabes que es lo que manejas, no toques nada y contrata personal informático, que hay un montón en el mercado laboral.
#15 Ni denuncia falsa, ni caza de brujas ni rollos conspiranoicos raros. La clínica ha sido multada con 150.000 euros y para eso se han tenido que encontrar pruebas de negligencia. Si el denunciante (por cierto, policía de Orense, no ningún mindundi particular) ha accedido a esa base de datos, cualquier otro ha podido hacerlo.
A ver, lo siento, pero es que quiero asegurarme (no porque yo sea una de las nerviosas ): entonces, ¿los ficheros en realiad no calleron en manos de nadie de a pie? Porque según he entendido en realidad solo tuvieron acceso a la BD el denunciante y supongo que los agentes, ¿no es eso?
Pues entonces está bien que se denuncie la inseguridad informática y los riesgos que pueden haber, pero es que me fastidia mucho que las noticias sean tan sensacionalistas e incompletas, QUE DIGAN QUE NO HAY FALLO NINGUNO Y QUE TOOODO ESTÁ BAJO CONTROL! QUE NO EXISTEN RIESGOS MAYORES PROCEDENTES DE ESA INFORMACIÓN O ESOS DATOS!!!
#5 Ya existe una legislación, que si bien no se basa en los deberes de la informática sí lo hace en los de protección de datos. El problema no es del uso de Windows/Linux, es de la poca conciencia que hay todavía en el valor de los datos de carácter personal. El sector de la salud es el más afectado y el que mejor debe salvaguardarlos, puesto que tratan con datos especialmente protegidos (y por tanto se arriesgan a mayores sanciones).
EDITO: #15 chapeau, aunque una empresa pequeña no tiene porqué tener en plantilla a un informático, si busca a un proveedor competente que esté puesto en Protección de Datos y que le asesore para cumplir la ley (y el sentido común, of course), no se gastará un dineral y tendrá todo funcionando ok.
Comentarios
bueno...afortunadamente o desafortunadamente conozco bien el tema.
se trata de una clinica muy pequeña, con 5 trabajadores y 3 ordenadores con windows en red, que trabajan con una base de datos en access. hasta hace poco no tenian internet (por tanto ni emule ni nada)
cuando se conectó a internet (por tecnicos de un ISP), les configuró la red de seguridad, y el antivirus y el firewall. el emule estaba instalado de antes en un pc pero ya desinstalado, aunque quedaba registro de haber estado instalado, pero ya no.
la base de datos estaba en una carpeta compartida de la red, no del emule ni ningun p2p.
hasta ahi lo objetivo
en una de estas suena la alarma: inspeccion de la LPD. ha habido una denuncia. encuentran el "servidor" limpio, pero rastros de emule en un pc de consulta, donde no hay nada instalado. les comentan que la BD esta en internet: me lo comentan, y la busco....no hay nada de eso. vale. una pena pq asi se sabria si es el pc de la clinica quien lo comparte. la BD solo la ha visto el denunciante, y se la ha enseñado a los de la LPD.
posteriormente, medidas de seguridad a tope. se desconectan de internet, contratan autenticos profesionales (no los del ISP), que les hacen hacer una inversion de miles de euros (vamos, la facturacion de un año). servidores seguros, firewalls fisicos....vi el presupuesto y me parecia como para una mediana-gran empresa con mas de 100 equipos. bueno...entiendo que la seguridad de estos centros no es juego de niños. vale...han tomado medidas, y por eso la multa es de ese importe (tal vez mortal para una clinica pequeña)
entonces los abogados empiezan a investigar la denuncia. parece ser que el denunciante es una persona que ha puesto decenas de denuncias de este estilo, generalmente a entidades que la iglesia considerará pecaminosas.
yo, ahi entro en escena, miro a ver si era posible acceder a la ase de datos por p2p, y veo que no. que lo unico que podria hacerse es hackear el equipo (aprovechandose de que uno tiene windows 98) y de ahi acceder a la base de datos. no creo por lo que he visto que en algun momento la carpeta pudiera ser accedida por accidente. yo pienso sinceramente que le han entrado, pillado la base, denuncia al canto y borrada.
lo ideal es que se hubieran tomado las medidas desde antes, y que las inspecciones fuesen tambien preventivas, no solo decir que hay que tener la base registrada. tambien lo ideal seria qu el aempresa no hubiese confiado tanto en el ISP y tuviese un informatico...pero aparte de ser un 20% mas de plantilla, ya digo que son 5, la cultura de la seguridad informatica, como en otras tantas pequeñas empresas, pues como que falla.
mi opinion es que hay un tio en Orense (sabemos su nick) que se dedica a putear a estas clinicas, y que esta es la 1ª, pero que van a caer mas. estan yendo a por ellas como ya pasó en Madrid, tambien casualmente por agentes.
consejo a todo el mundo que tenga conocidos en pequeñas empresas o familiares en ellas: al loro con a quien molestais con vuestra actividad. da igual lo licita que sea. y sobre todo, invertir en proteccion de datos: no penseis que el pringado de turno o el ISP os van a dar un servicio suficiente.
y por supuesto....no instaleis P2P en el curro!!!!!
Un momento, ¿qué hacía un programa como el Emule en el ordenador de una clínica? ...
Hay muchas empresas y organismos donde el sistema informático funciona gracias al informático aficionado que va resolviendo problemillas según se presentan. Pero no hay establecidas ningunas funciones ni responsabildades ni horarios ni remuneraciones.
Lo raro es que esto no pase más a menudo.
Obviamente, "no sabían nada del Proyecto Angel", que no tiene esos defectos, totalmente gratuito y que corre bajo Linux. Vamos !!! Todos los gerentes de hospitales saben qué es, que no se hagan los distraídos.
#12 Se comenta que también era una clínica veterinaria.
Lo que no entiendo es porqué no capan esos ordenadores para que directamente no puedan instalar en ellos ni en Messenger, desde luego que sería lo más fácil.
#15 Pero entonces no se podría denunciar al denunciante: 1º por crackear el sistema para ver la base de datos y 2º por denuncia falsa al decir que lo vio compartido por eMule???
comentarios supercansinos de "eso pasa por no instalar linux" y varias chorradas antimicrosoft más... 3, 2, 1...
#7 Eso casi es lo de menos... el concepto de servidor, base de datos, cifrado... Que tenían, ¿Los expedientes en .txt?
La clínica implantó de inmediato en su sistema informático medidas de seguridad de nivel alto.
Ya... ¿Cuál? ¿Desconectar la red? La gente no aprende, luego se creen que programadores y administradores estamos de adorno.
lo puedo confirmar. a no ser que el famoso policia ese (que se identifica como el vengador nocturno o algo asi), se haya quedado con una copia, pero no creo que sea tan inutil de delinquir de ese modo (queda por saber si lo ha hecho al acceder a la BD) también si se saltó la contraseña para acceder a ella (vale, eso es lo mas facil por fuerza bruta)
salvando las distancias lo veo como denunciar la pornografia infantil. la encuentras (la busques o no) y lo denuncias, y automaticamente lo borras. no vas pregonando a los 4 vientos que tal archivo es pedofilia
Pero no sabe, darle a la opción no compartir determinadas carpetas ?
Nada, hombre. Harán como con el caso de CCOO (léase ce ce o o), que en lugar de meterles un puro que te cagas lo resolvieron con 600 euros de vellón.
#17 Yo a la persona de un "proveedor competente que esté puesto en Protección de Datos y que le asesore para cumplir la ley" y que configura adecuadamente la red y los ordenadores lo llamo ingeniero/ingeniero tecnico/técnico /comoquieras informatico y no tiene por que cobrar un dineral y tendrá todo funcionando ok
Solo decía que si entonces falla algo, haya un responsable, para bien o para mal
Hay que ser tonto, pero primero y de entrada yo no se porque (ya que se instala win) no se hace con el tema de los permisos de amdinistracion y demas para que no se instalen ciertos pragramas...tambien se pueden capar los puertos...mira que hay soluciones...pero no, se deja al listo de turno y que haga lo que quiera
Se supone que debe haber confidencialidad clínica para con el paciente, entonces¿por qué no guardan los historiales en ordenadores sin conexión a la red? Una red interna del hospital o entre hostpitales sería más lógico.
Ah pues bien, ahora a ver que se ingenia la SGAE para sacar tajada de ahi tb, es su nuevo reto, animo!!
#23 seria lo logico...como seria lo logico haber contratado un servicio tencnico-de seguridad bueno...pero las pequeñas empresas tienden a no invertir en estas cosas.
ya se que es tarde, pero desde la notificación los equipos han estado sin internet y han comprado un equipo exclusivamente para temas telemáticos, fuera de toda red local. por eso les han rebajado un poco la multa.
como mas logico sería una serie de inspectores de seguridad informatica, al estilo de los que van por el tema de seguridad laboral, antes de que el daño se haya hecho
no te revisan el coche en la itv? no te revisan las medidas de seguridad en las obras? pues eso, que de oficio se encarguen de estas cosas, no solo cuando hay denuncia, que tambien
te sorprenderías de la de empresas que se supone te llevarian el tema de la protección de datos, pero luego solo te venden humo. lo de incribir en el registro la base está bien, pero no cualquier asesoria te puede diseñar un entorno seguro. muchos se han apuntado al carro de la LPD, y enchufan al primer recien licenciado en derecho para que haga....poco mas que nada.
por supuesto otras son muy profesionales, pero se dedican a ello, y aparte de abogados tienen autenticos tecnicos, auditores, .....
y lo de los ISP es de traca. te pueden instalar el emule para bajarte el antivirus como favor, luego borrarlo y dejar el rastro, y ya te la han liado, porque a ver como demuestras que te han enrado si no tienes nada que guarde los logs
por cierto...si conoceis a alguien nervioso por el tema, tranquilizadla/o, que no se ha hecho publico nada. "solo" ha estado disponible para la denuncia. tener ese fichero en tu poder es delito
Yo les impondría dos multas de 150.000 euros: Una a la clínica por no tener sus datos médicos protegidos contra este tipo de situaciones. La otra, al o la inútil, que instaló el emule y no tenía ni puta idea de como se emplea.
Hay que ser conscientes de que en casos como estos, y en otros parecidos, se maneja una información acerca de las personas que tiene un carácter muy personal. No se puede poner ninguna excusa. Sino sabes que es lo que manejas, no toques nada y contrata personal informático, que hay un montón en el mercado laboral.
heh como mola, ponderan que vende mejor el titular "4000 abortos", pero en realidad se han filtrado 11000, casi el triple, aunque no se an abortos
#15 Ni denuncia falsa, ni caza de brujas ni rollos conspiranoicos raros. La clínica ha sido multada con 150.000 euros y para eso se han tenido que encontrar pruebas de negligencia. Si el denunciante (por cierto, policía de Orense, no ningún mindundi particular) ha accedido a esa base de datos, cualquier otro ha podido hacerlo.
Personalmente no estaría tranquila, para nada.
A ver, lo siento, pero es que quiero asegurarme (no porque yo sea una de las nerviosas ): entonces, ¿los ficheros en realiad no calleron en manos de nadie de a pie? Porque según he entendido en realidad solo tuvieron acceso a la BD el denunciante y supongo que los agentes, ¿no es eso?
Pues entonces está bien que se denuncie la inseguridad informática y los riesgos que pueden haber, pero es que me fastidia mucho que las noticias sean tan sensacionalistas e incompletas, QUE DIGAN QUE NO HAY FALLO NINGUNO Y QUE TOOODO ESTÁ BAJO CONTROL! QUE NO EXISTEN RIESGOS MAYORES PROCEDENTES DE ESA INFORMACIÓN O ESOS DATOS!!!
parece que lo hayan hecho a proposito...
El centro se llama "lasaitasuna" que significa tranquilidad..
Pero la tranquilidad debe ser para los pacientes no para los empleados..
#5 Ya existe una legislación, que si bien no se basa en los deberes de la informática sí lo hace en los de protección de datos. El problema no es del uso de Windows/Linux, es de la poca conciencia que hay todavía en el valor de los datos de carácter personal. El sector de la salud es el más afectado y el que mejor debe salvaguardarlos, puesto que tratan con datos especialmente protegidos (y por tanto se arriesgan a mayores sanciones).
EDITO: #15 chapeau, aunque una empresa pequeña no tiene porqué tener en plantilla a un informático, si busca a un proveedor competente que esté puesto en Protección de Datos y que le asesore para cumplir la ley (y el sentido común, of course), no se gastará un dineral y tendrá todo funcionando ok.
Regulación en el sector de Informatica YA!!!
Que se creen derechos y DEBERES en la informática